Cum Verifici Dacă Site-ul Tău a Fost Piratat (Și Ce Faci în Primele 24 de Ore)

Este 2:00 AM și primești un SMS de la un client care îți spune că site-ul tău redirecționează către un magazin online de farmaceutice din Asia. Inima îți stă în loc. Intri pe site și vezi că Google Chrome afișează un ecran roșu uriaș cu mesajul "Site înșelător în față". În acel moment, panica este cel mai mare dușman al tău. În 2026, atacurile cibernetice asupra site-urilor mici și mijlocii au devenit mai sofisticate ca niciodată, iar recuperarea nu mai ține doar de repunerea unui backup vechi. Dacă nu acționezi strategic în primele 24 de ore, riști nu doar pierderea datelor, ci și o penalizare SEO din care îți poate lua luni de zile să îți revii.

Acest ghid este un protocol de urgență structurat. Nu este teorie de securitate cibernetică pentru corporații; este un plan de acțiune pentru developeri, freelanceri și proprietari de site-uri care trebuie să stingă incendiul acum. Vom folosi uneltele disponibile gratuit pe seotoolpro.ro pentru a diagnostica problema și vom urma un flux logic de recuperare în mai puțin de o zi.

Semnele care îți confirmă coșmarul: Ești sigur că ești piratat?

Înainte de a intra în panică și a anunța toată lumea că ai fost victima unui atac cibernetic, trebuie să confirmăm diagnosticul. Uneori, o eroare de PHP sau un plugin corupt nu este un hack, ci doar o neplăcere. Iată simptomele clare ale unui site compromis în 2026:

1. Blacklistul Google și Browser Shield

Cea mai evidentă dovadă este avertizarea interstițială a browserului. Dacă intri pe propriul domeniu și vezi "Deceptive site ahead" (Site înșelător în față), înseamnă că Google Safe Browsing a depistat deja cod malițios pe paginile tale. Poți verifica oficial acest lucru folosind uneltele de pe site-ul nostru. Accesează Google Malware Checker pentru o scanare rapidă a domeniului față de baza de date Google Safe Browsing actualizată 2026. Totodată, este esențial să rulezi un Blacklist Lookup pentru a vedea dacă IP-ul sau domeniul tău a ajuns pe listele de spam (SORBS, Spamhaus).

2. Redirecționări ascunse (Cloaking)

Atacatorii moderni folosesc tehnici de cloaking foarte avansate. Ei pot seta reguli în fișierul .htaccess sau în wp-config.php care redirecționează doar utilizatorii care vin din Google Search către o pagină de phishing. Dacă tu tastezi direct URL-ul în bara de adrese, site-ul arată normal. Dacă dai click de pe Google, ajungi pe un site cu conținut pentru adulți sau criptomonede. Pentru a simula comportamentul Googlebot și a vedea ce vede motorul de căutare, folosește unealta noastră Spider Simulator. Aceasta îți va arăta exact codul sursă pe care îl parsează Google. Dacă acolo vezi linkuri spre site-uri de jocuri de noroc sau pastile albastre, ai o problemă serioasă.

3. Conturi Admin Fantomă și Cod Necunoscut

Dacă folosești WordPress, verifică în panoul de administrare secțiunea Utilizatori. Ai vreun cont de administrator pe care nu-l recunoști? De obicei, numele sunt de tipul "support_inc", "wp_update" sau "admin_backup". În 2026, hackerii folosesc plugin-uri nule pentru a insera utilizatori ascunși care nu apar nici măcar în lista standard de utilizatori WordPress. Pentru a vedea sursa reală, folosește Get Source Code of Webpage și caută după cuvinte cheie suspecte precum eval, base64_decode, sau domenii .ru, .su sau .top în codul generat.

4. Performanță catastrofală și CPU 100%

Hostingul tău te-a notificat că ai depășit limita de procese? Site-ul se încarcă în 15 secunde chiar și după ce ai aplicat toate sfaturile din ghidul nostru de Optimizare Viteza Site Core Web Vitals 2026? Este foarte probabil ca serverul tău să fie folosit pe post de fermă de minat criptomonedă (cryptojacking) sau să trimită sute de mii de emailuri spam. Unealta Server Status Checker te ajută să vezi timpul de răspuns al serverului, dar pentru o imagine completă a codului malițios care rulează, trebuie să inspectezi manual consumul de resurse în cPanel sau managerul de procese SSH.

Planul de Bătaie pentru Primele 24 de Ore

Acum că am stabilit că site-ul este compromis, este timpul să acționăm militar. Nu restaura orbește un backup înainte de a înțelege cum au intrat, pentru că vei păstra ușa deschisă și după restaurare. Iată cronologia exactă, oră cu oră, pe care o recomandă experții SEO și developerii în 2026.

Ora 0-2: Izolarea și Analiza (NU ȘTERGE ÎNCĂ NIMIC)

Primul instinct este să ștergi tot și să pui o pagină de mentenanță. Acest lucru este util pentru vizitatori, dar fatal pentru analiza criminalistică. În primele 2 ore, trebuie să devii un detectiv digital.

Pasul 1: Activează modul de mentenanță din CMS sau plasează un fișier index.html temporar. Apoi, verifică starea DNS-ului și IP-ul real al serverului. Uneori, atacatorii modifică înregistrările A din panoul de domeniu. Folosește Domain into IP pentru a confirma că domeniul indică încă spre serverul tău corect. Am întâlnit cazuri în 2026 în care atacatorii au schimbat nameserver-ele și tot traficul trecea prin serverele lor de proxy.

Pasul 2: Verifică fișierul .htaccess. Acesta este cel mai frecvent loc de injectare a redirecționărilor. Descarcă fișierul prin FTP/SFTP. Ar trebui să arate similar cu regulile din ghidul nostru Ghid Complet .htaccess 2026. Dacă vezi linii lungi de cod criptat care încep cu RewriteCond %{HTTP_USER_AGENT} urmate de expresii regulate ciudate, ai găsit virusul. Păstrează o copie a acestui fișier infectat pe calculatorul local pentru analiză, apoi curăță-l.

Ora 2-6: Scanarea Tehnică Adâncă cu Unelte Profesioniste

După ce ai izolat problema vizibilă, este timpul să descoperi "ușile din spate" (backdoors). Acestea sunt fișiere mici ascunse în folderele /uploads/, /wp-includes/ sau chiar în folderul rădăcină cu nume care par legitime (wp-settings.php vs wp-settings.php.bak).

Folosește Broken Links Finder într-un mod neconvențional. Deseori, scripturile malițioase injectează linkuri către resurse externe care nu mai există sau sunt blocate. Acest tool îți va lista toate linkurile externe din codul sursă. Dacă vezi domenii precum cdn-cloudflare-security[.]xyz sau IP-uri directe în loc de domenii, acestea sunt semnale roșii. De asemenea, este vital să rulezi un Find DNS Records pentru a te asigura că nu există înregistrări TXT suspecte adăugate pentru verificarea domeniului în Google Search Console de către atacator.

Ora 6-12: Curățarea și Restaurarea Corectă

Majoritatea oamenilor fac greșeala să restaureze un backup de acum o săptămână peste fișierele infectate. Nu face asta! Un backup poate conține deja backdoor-ul ascuns, mai ales dacă atacul a început acum 2 săptămâni și tu abia acum ai observat. Procedura corectă în 2026 este "Reconstrucția Nucleară":

Nucleul CMS: Dacă ești pe WordPress, folosește butonul "Re-install Core" din panoul de actualizări. Acesta rescrie toate fișierele de bază WordPress (/wp-admin/ și /wp-includes/) cu versiuni curate din repo-ul oficial. Aceasta elimină 90% din infecțiile superficiale.

Plugins și Temă: Dezactivează toate plugin-urile. Șterge-le complet. Reinstalează-le unul câte unul DOAR din surse oficiale (WordPress.org sau dezvoltatorul premium). Dacă foloseai o temă sau plugin nulled (piratat), acesta este prețul plătit. Am detaliat cum să eviți astfel de probleme în articolul Securitate WordPress 2026 – Ghid Complet.

Pentru a te asigura că nu rămân fișiere orfane în folderul uploads, poți folosi o comandă SSH simplă pentru a găsi fișiere PHP ascunse în folderele de media:

find /path/to/wp-content/uploads -name "*.php" -print # Orice fișier PHP găsit în folderul de imagini este aproape sigur un backdoor. # Excepție fac folderele de cache ale unor plugin-uri specifice (WP Rocket, etc). Verifică cu atenție.

Ora 12-18: Repararea Reputației SEO

Site-ul tău este din nou curat tehnic, dar Google încă îl vede ca pe un vector de atac. Dacă nu repari partea de SEO, traficul tău organic va rămâne la zero. Urmează acești pași obligatorii folosind instrumentele din suita seotoolpro.ro:

1. Verifică Indexarea: Folosește Google Index Checker pentru a vedea dacă paginile tale principale mai sunt în index. Dacă sunt marcate ca "Excluse", probabil ai o penalizare manuală sau algoritmică.

2. Curăță Meta Tag-urile Injectate: Hackerii injectează titluri și descrieri în japoneză sau chineză în baza de date. Folosește Meta Tags Analyzer pentru a scana primele 10-20 de pagini ale site-ului. Asigură-te că titlurile nu conțin cuvinte cheie legate de "Viagra", "Casino" sau "Ray Ban Sale".

3. Generează un Sitemap Nou: Șterge vechiul sitemap XML. Folosește XML Sitemap Generator pentru a crea unul nou, curat, care conține doar URL-urile legitime. Trimite-l imediat în Google Search Console. Pentru detalii despre acest proces, consultă Ghidul Complet XML Sitemap & Robots.txt 2026.

4. Solicită o Verificare de Securitate în GSC: Intră în Google Search Console -> Securitate și acțiuni manuale -> Solicită o verificare. În descriere, explică clar că site-ul a fost compromis, că ai înlocuit fișierele de bază, ai actualizat CMS-ul la ultima versiune 2026 și ai securizat permisiunile fișierelor.

Ora 18-24: Fortificarea Zidurilor

Nu te culca încă. Dacă nu blochezi punctul de intrare, mâine dimineață o iei de la capăt. Iată ce trebuie să faci pentru a preveni recidiva:

Schimbă TOATE Parolele: Gândește-te la orice: Parola cPanel, parola FTP, parola bazei de date MySQL, parola administrator WordPress, cheile API de la servicii terțe (Mailchimp, Sendgrid). Folosește Password Generator pentru a crea parole aleatorii de minim 24 de caractere și păstrează-le într-un manager de parole securizat. Verifică tăria acestora cu Password Strength Checker.

Actualizează PHP: În 2026, rularea pe versiuni PHP 7.4 sau chiar PHP 8.0 fără suport de securitate este sinucidere curată. Cere hostului să te mute pe PHP 8.2 sau 8.3. Vei observa și o creștere a vitezei, așa cum explicăm în PHP 8 – Funcții și Best Practices 2026.

Configurează Headers de Securitate: Folosește Htaccess Redirect Generator pentru a adăuga reguli de securitate esențiale în fișierul .htaccess, precum blocarea accesului la xmlrpc.php (principala țintă a atacurilor brute-force WordPress):

# Blocare acces xmlrpc.php <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>